L’émergence des réseaux de distribution d‘énergie intelligents et le déploiement d’une nouvelle génération de compteurs communicants a obligé le secteur de l’énergie et, en particulier, celui de la distribution d’électricité, à se doter d’un cadre juridique spécifique relatif aux données personnelles. Ce cadre a été renforcé à la suite de l‘entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (RGPD). On s’intéressera au cas des données de comptage électriques pour illustrer la problématique.
- Réseaux intelligents et données personnelles
La question de l’utilisation et de la protection des données est aujourd’hui un enjeu majeur en raison de l’augmentation exponentielle de ces données et de leur accessibilité à une multitude d’acteurs (fournisseurs, gestionnaires des réseaux, autorités organisatrices de la distribution d’énergie, bailleurs sociaux notamment).
Cette multiplication des données trouve son origine dans le développement des réseaux dits « intelligents » qui accompagne la transition énergétique[1] et dont les compteurs communicants sont la première brique. L’enjeu est de taille puisque déjà 7 millions de compteurs communicants (Linky), ont été installés et environ 35 millions de compteurs doivent être installés d’ici 2021.
Ces compteurs ont vocation in fine à inciter les utilisateurs des réseaux à limiter leur consommation pendant les périodes de consommation de pointe en mettant à leur disposition leurs données de comptage et à permettre aux fournisseurs de proposer à leurs clients des prix adaptés à leur consommation[2].
Ces compteurs permettent de déduire des informations sur la vie privée des consommateurs, tels que le nombre de personnes dans le foyer, les heures de lever et de coucher ou encore les périodes d’absences. De ce fait, plusieurs règles ont été posées pour préserver la confidentialité des données personnelles de consommation d’électricité. C’est la raison pour laquelle la CNIL avait indiqué que le déploiement de ces compteurs communicants « n’est pas sans risque sur la vie privée tant au regard du nombre et niveau de détail des données qu’ils permettent de collecter », le principal risque provenant de l’enregistrement de la courbe de charge.
- La protection des données de consommation d’électricité : la courbe de charge
En 2012, la CNIL a émis des recommandations concernant le traitement des données personnelles de consommations d’énergie collectées par les compteurs communicants[3]. Puis, en 2017, deux décrets ont finalisé les modalités de mise à disposition des données personnelles de consommation à des fournisseurs ou à des tiers[4].
Les règles posées portent principalement sur le stockage et la transmission de la courbe de charge.
La courbe de charge d’électricité d’un usager est l’historique de sa consommation mesurée à une fréquence de temps donnée (le pas de temps peut être ou plus moins fin : 10 minutes, 30 minutes – par défaut – ou une heure)[5]. Cette courbe de charge permet d’établir un graphique permettant de constater aisément les périodes de fortes consommations. La courbe de charge, lorsqu’elle est enregistrée sur une période suffisamment longue (un an par exemple), sert en particulier à réaliser le bilan énergétique d’un logement ou à procéder à des simulations afin de comparer des offres tarifaires.
Le stockage de la courbe de charge dans le compteur lui-même est autorisé sans qu’il soit nécessaire de recueillir le consentement exprès de l’usager (les données sont relevées toutes les heures). L’usager peut toutefois faire jouer son droit d’opposition au stockage, à tout moment, c’est-à-dire en désactivant ce stockage et/ou en supprimant ces données.
Le consentement exprès de l’usager n’est requis que pour la remontée de la courbe de charge dans le système d’information du gestionnaire du réseau de distribution et pour sa transmission à des tiers (fournisseurs d’énergie par exemple) à des fins commerciales.
Lorsque l’usager donne son consentement au gestionnaire du réseau de distribution pour enregistrer sa courbe de charge, celui-ci enregistre par défaut les données de consommation journalières (consommation globale du foyer sur une journée – index quotidien) pour permettre à l’usager de consulter gratuitement l’historique de ses consommations.
Ainsi, les éléments fins de consommation permettant de reconstituer la courbe de charge du consommateur ne sont transmis par le compteur au système central d’Enedis que si l’usager en fait explicitement la demande dès lors que chaque utilisateur des réseaux publics d’électricité a la libre disposition des données relatives à sa production ou à sa consommation, enregistrées par les dispositifs de comptage[6].
Actuellement, la fonctionnalité permettant au compteur Linky d’enregistrer la courbe de charge n’est pas opérationnelle. La Cour des comptes a ainsi relevé dans son récent rapport annuel que « si l’usager n’a pas demandé au préalable la transmission des informations de la courbe de charge au système central d’Enedis, il ne pourra pas disposer, avant un an, des informations nécessaires à un audit énergétique ou une comparaison des offres des fournisseurs. Il faut de plus noter que, lorsque la fonctionnalité d’enregistrement sera disponible, la mémoire des compteurs ne permettra d’enregistrer la consommation au pas horaire que sur une durée de quatre ou cinq mois et qu’Enedis n’a pas pris les dispositions pour augmenter cette capacité »[7].
- La mise en œuvre du RGPD
Depuis le 26 mai 2018, les règles posées par le RGPD complètent ce cadre juridique. Et, à l’occasion d‘une mise en demeure prononcée deux mois plus tôt à l’encontre de la société Direct Energie (fournisseur d’énergie), la CNIL n’a pas manqué de rappeler les principes auxquels doivent se conformer les différents acteurs du monde de l’énergie
En effet, par une décision du 27 mars 2018, la CNIL a mis en demeure la société Direct Energie pour n’avoir pas respecté l’article 7 de la loi informatique et liberté du 6 janvier 1978 imposant un consentement libre, éclairé et spécifique pour le traitement des données personnelles.
La société procédait à la collecte des données de consommations quotidiennes et à la demi-heure sans l’accord de ses clients. Elle se contentait de demander à ses clients leur accord sur la mise en service du compteur (qui relève au demeurant de la gestion d’Enedis), et simultanément sur la collecte des données sans leur indiquer à quelle cadence ces données étaient recueillies. Cette collecte était présentée comme le corollaire de l’activation du compteur, permettant de bénéficier d’une « facturation au plus juste » alors même qu’aucune offre basée sur la consommation au pas de trente minutes n’existait[8].
La décision a ainsi entendu sanctionner, dans ce cas, le défaut de consentement quant à la collecte et au traitement des données personnelles. Les conditions de recueil du consentement, lequel doit être « libre, spécifique, éclairé et univoque », sont en effet au cœur de la nouvelle réglementation. L’affaire Direct Energie est éclairante sur ce point dès lors qu’il est patent que le consentement de l’usager n’avait pas été formulé correctement et qu’il avait été demandé pour deux objectifs différents (l’activation du compteur et la collecte des données).
La décision est également éclairante sur un autre principe du RGPD, celui qui impose que le traitement des données personnelles soit réalisé sur une base juridique que l’entreprise doit déterminer (consentement, exécution d’un contrat, intérêt légitime, etc.). En l’espèce, il est clair que Direct Energie n’avait pas besoin de collecter les données quotidiennes afin d’exécuter le contrat de fourniture qui le lie à son client (du moins en l’état de ses offres commerciales), contrairement à ce qui était avancé.
- L’utilisation des données personnelles par les collectivités
On rappellera enfin que les autorités organisatrices de la distribution d’énergie (AODE), autorités concédantes, ont la faculté d’accéder à des données agrégées (donc anonymisées) de production et de consommations d’électricité sur un territoire donné.
En effet, le gestionnaire du réseau public de transport d’électricité, les gestionnaires de réseaux de transport de gaz, ainsi que les gestionnaires des réseaux publics de distribution d’électricité et de gaz sont expressément chargés par la loi de mettre à la disposition des personnes publiques, à partir des données issues de leur système de comptage, les données disponibles de transport, de consommation et de production d’électricité, de gaz naturel et de biogaz lorsque ces données s’avèrent utiles à l’exercice de leurs compétences (mission de contrôle de la concession par exemple) et à l’élaboration des documents de planification du territoire, en particulier pour l’élaboration et la mise en œuvre des plans climat-air-énergie territoriaux[9].
Ces données doivent dont être disponibles pour les collectivités autorités concédantes, pour les besoins de leur mission, ce qui exclut à notre sens tout usage commercial par ces mêmes collectivités.
[1] Loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte
[2] Directive 2009/72/CE du Parlement européen et du conseil du 13 juillet 2009 concernant les règles communes pour le marché intérieur de l’électricité transposée par la Loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité et décret 2010-1022 du 31 août 2010 relatif aux dispositifs de comptage sur les réseaux publics d’électricité en application du IV de l’article 4 de la loi n° 2000-108 du 10 février 2000 relative à la modernisation et au développement du service public de l’électricité devenus respectivement les articles L. 341-4 et R. 341-4 du code de l’énergie
[3] Cf. Position de la CNIL du 30 novembre 2015 sur les compteurs communicants Linky et délibération n° 2012-404 du 15 novembre 2012.Délibération n° 2012-404 du 15 novembre 2012 portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants.
[4] Décret n° 2017-948 du 10 mai 2017 relatif aux modalités de mise à disposition des consommateurs des données de consommation d’électricité et de gaz et Décret n° 2017-976 du 10 mai 2017 relatif aux modalités d’accès par les consommateurs aux données de consommation d’électricité ou de gaz naturel et à la mise à disposition de ces données par les fournisseurs
[5] Cf. article D. 341-21 du code de l’énergie
[6] Cf. article R.341-5 du code de l’énergie
[7] Rapport public annuel public février 2018 – Cour des comptes
[8] Décision n°2018-007 du 5 mars 2018 – Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société Direct Energie
[9] Cf. Article L.2224-31 du CGCT